用wireshark做的第一个抓包实验

实验目的 1、掌握网络分析工具Wireshark的使用 2、理解以太网的数据帧格式和MAC地址。 实验内容与分析 实验步骤： 1.启动Wireshark； 2.设置接口，关闭混杂模式，即关闭Capture packets in promiscuous mode选项； 点击勾选蓝框后，关闭混杂模式。 3.进行网络操作，操作结束后，停止抓包；

4 使用过滤器，编写过滤规则，找到需要分析的数据包，仔细观察数据包信息并分析。 （1）观察Frame信息，写出数据包的捕获时间，这个包与第一个包的相对时间增量，帧序号，数据包的长度，捕获的长度，协议封装层次。 数据包的捕获时间 Arrival Time 2020-4-25 14：38:30.316241000 与第一个包的相对时间增量 Time since reference or first frame 0 帧序号 Frame Number 1 数据包的长度 Frame Length 90 bytes 捕获的长度 Capture Length 90 bytes 协议封装层次 Protocols in frame eth:ethertype:ipv6:ipv6.hopopts:icmpv6

数据包的捕获时间 Arrival Time 2020-4-25 14:38:32.319799000 与第一个包的相对时间增量 Time since reference or first frame 2.003558000 seconds 帧序号 Frame Number 20 数据包的长度 Frame Length 54 bytes 捕获的长度 Capture Length 54 bytes 协议封装层次 Protocols in frame eth:ethertype:ip:igmp:igmp

（2）找到一个单播帧，分析其首部各字段值，并说明其含义，如发送计算机的MAC地址和接收计算机的MAC地址各是什么，以及类型字段等。 00 50 56 c0 00 01: 发送计算机的MAC地址 00 50 56 e6 65 9d: 接受计算机的MAC地址 0800: 使用IPv4协议传输 （3）找到一个广播帧，源地址和目的地址是什么，数据部分承载的是什么协议的数据包？ 源地址：00:50:56:c0:00:01 目的地址：00:00:00:00:00:00 协议：ARP （4）尝试编写过滤规则找到一个组播帧。 筛选：eth.addr[0]!=0 （5）实验中捕获的所有以太网帧，最小帧长是多少？为什么？ 最小帧长为42，无线网抓包可能会出现短帧。 然而不出意外的话，有效帧长为64。 原因：按照标准，10Mbps以太网采用中继器时，连接的最大长度是 2500米，最多经过4个中继器，因此规定对10Mbps以太网一帧的最小发送时间为51.2微秒。这段时间所能传输的数据为512位，因此也称该时间为 512位时。这个时间定义为以太网时隙，或冲突时槽。512位＝64字节，这就是以太网帧最小64字节的原因。 （6）在实验中捕获的以太网帧中，除了封装IP数据包，还有别的什么协议的数据包？Type字段的值是多少？ 按照Protocol参数进行筛选，没有筛选到“IP”，但有以下几种类型的协议，在每种类型中选取一帧，下拉查询Ethernet II,Src:下的Type参数，得到下表。 协议 Type ARP 0x0806 BROWSER 0x0800 DHCP 0x0800 ICMPv6 0x86dd IGMPv3 0x0800 LLMNR 0x0800 MDNS 0x86dd NBNS 0x0800 SSDP 0x0800

实验总结 遇到的问题： 1.主机连接的是WLAN而非以太网，所以最初打开wireshark时，以太网的线一直是平的。 然后就利用了一下虚拟机，把linux做实验用的虚拟机设置到以太网模式，就可以对以太网进行抓包了。另外还有就是不知道这个操作的原理是什么，但因为考虑到以太网是局域网，我尝试考了一下电脑的热点，一打开那个线就动了，好像也是有效果的。 2.对于参数的含义不太清楚（中英对应），参考： https://www.jianshu.com/p/645a0e1b2474 3.对如何筛选不太清楚，参考： http://www.csna.cn/viewthread.php?tid=14614

收获：wireshark的作用就是抓下一帧一帧的数据，然后解析它们，即按照规则自动识别要素，以解码出帧包含的信息。

疑问：（1）参数理解不够，每一帧点开详细信息后，还不能清楚每一项是什么意思。（2）筛选不太会。